מחדשות מרעישות ובידור ועד ספורט ופוליטיקה, X היא אפליקציית מדיה חברתית שמטרתה לעזור לכמעט 500 מיליון משתמשים ברחבי העולם לקבל את הסיפור המלא עם כל הפרשנויות בשידור חי. לאחרונה, מפתחי X שיפצו את תהליך הכניסה לאפליקציית Android, כדי שהמשתמשים לא יפספסו אף שיחה שמעניינת אותם. באמצעות Credential Manager API, הצוות הטמיע אימות חדש באמצעות מפתחות גישה כדי לאפשר גישה מהירה, קלה ובטוחה יותר לאפליקציה.
כניסה לחשבון עם מפתחות גישה – פשוטה יותר
כיום, מערכות אימות מסורתיות שמבוססות על סיסמאות הן פחות מאובטחות ומועדות יותר להתקפות סייבר. משתמשים רבים בוחרים סיסמאות שקל לנחש, וגורמים זדוניים יכולים לפרוץ אותן בקלות באמצעות התקפות ברוט פורס. בנוסף, הם משתמשים באותן סיסמאות בכמה חשבונות, כך שאם סיסמה אחת נפרצת, כל החשבונות נפרצים.
מפתחות גישה נותנים מענה לדאגה הגוברת לגבי אבטחת חשבונות מפני סיסמאות חלשות ומתקפות פישינג, כי הם מבטלים לחלוטין את הצורך בסיסמאות. התכונה מספקת חוויית כניסה בטוחה וחלקה יותר, ופוטרת את המשתמשים מהצורך לזכור את שמות המשתמש או הסיסמאות שלהם.
קיילי מקרוברטס, ראש מחלקת הבטיחות ב-X, אמרה: 'מפתחות גישה הם דרך פשוטה ומאובטחת יותר להתחבר לחשבון. הם מחליפים את הסיסמאות בקוד אימות או בנתונים ביומטריים כמו טביעות אצבע או זיהוי פנים'. "בדקנו את האפשרות להשתמש במפתחות גישה כדי להקל על המשתמשים להיכנס לחשבונות שלהם בצורה בטוחה יותר, וכך לעזור להם להגן על החשבונות בלי הצורך לזכור סיסמאות".
מאז הטמעת מפתחות הגישה, צוות X הבחין בירידה משמעותית בזמני הכניסה ובמדדים שמראים שיפור בתהליך הכניסה. עם מפתחות הגישה, שיעור הכניסה המוצלחת לאפליקציה הוכפל בהשוואה למצב שבו הסתמכו רק על סיסמאות. בנוסף, הצוות הבחין בירידה במספר הבקשות לאיפוס סיסמאות ממשתמשים שהפעילו מפתחות גישה.
לדברי מפתחים ב-X, השימוש במפתחות גישה הביא ליתרונות נוספים מעבר לאבטחה משופרת ולחוויית כניסה פשוטה יותר, כמו עלויות נמוכות יותר ושיפור חוויית המשתמש.
"מפתחות הגישה אפשרו לנו לצמצם את ההוצאות שקשורות לאימות דו-שלבי מבוסס-SMS, כי הם מציעים אימות חזק ומוטמע", אומרת קיילי. "בנוסף, תהליך הכניסה הפשוט מעודד את המשתמשים להשתמש בפלטפורמה שלנו, כי הם לא צריכים לזכור סיסמאות או לאפס אותן".
מפתחות גישה מתבססים על קריפטוגרפיה של מפתח ציבורי כדי לאמת משתמשים ולספק להם מפתחות פרטיים. כלומר, אתרים ואפליקציות יכולים לראות ולאחסן את המפתח הציבורי, אבל לא את המפתח הפרטי, שמוצפן ומאוחסן על ידי ספק האישורים של המשתמש. המפתחות הם ייחודיים ומקושרים לאתר או לאפליקציה, ולכן אי אפשר להשיג אותם בפישינג, מה שמגביר את רמת האבטחה שלהם.
שילוב חלק באמצעות Credential Manager API
כדי לשלב מפתחות גישה, מפתחי X השתמשו ב-Credential Manager API של Android, שהפך את התהליך ל"חלק במיוחד", לדברי קיילי. ה-API מאחד את Smart Lock, One Tap וכניסה באמצעות Google לתהליך עבודה יחיד ויעיל. השינוי הזה גם אפשר למפתחים להסיר מאות שורות קוד, מה ששיפר את ההטמעה וצמצם את עלויות התחזוקה.
בסופו של דבר, ההעברה ל-Credential Manager נמשכה שבועיים בלבד עבור X מפתחים, ולאחר מכן עוד שבועיים כדי לתמוך באופן מלא במפתחות גישה. זו הייתה 'העברה מהירה מאוד' והצוות 'לא ציפה שזה יהיה כל כך פשוט וקל', אמר סוראב ארורה, מהנדס צוות ב-X. הודות ל-API הפשוט של Credential Manager, שמבוסס על קורוטינות, מורכבויות הטיפול בכמה אפשרויות אימות נעלמו למעשה, מה שהוביל לצמצום כמות הקוד, להפחתת הסיכויים לבאגים ולשיפור מאמצי הפיתוח הכוללים.
X developers saw a significant improvement in developer velocity by integrating the Credential Manager API. בעקבות המעבר שלהם לשימוש במפתחות גישה באמצעות Credential Manager API, הם השיגו:
- צמצום של 80% בכמות הקוד במודול האימות
- 90% פתרון של באגים במקרים קיצוניים בגרסאות קודמות
- ירידה של 85% בכמות הקוד לטיפול ב-GIS, בכניסה בלחיצה אחת וב-Smart Lock
השימוש בשיטות ברמה העליונה של Credential Manager API, כמו createCredential ו-getCredential, מפשט את השילוב על ידי הסרת מורכבויות של לוגיקה מותאמת אישית שקשורות לפרוטוקולים נפרדים. הגישה האחידה הזו גם אפשרה למפתחים של X להשתמש בממשק יחיד ועקבי כדי לטפל בסוגים שונים של אימות, כמו מפתחות גישה, סיסמאות וכניסות מאוחדות כמו כניסה באמצעות חשבון Google.
"עם שיטות ה-API הפשוטות של Credential Manager, יכולנו לאחזר מפתחות גישה, סיסמאות ואסימונים מאוחדים באמצעות קריאה אחת, וכך לצמצם את הלוגיקה של הסתעפות ולטפל בתגובות בצורה נקייה יותר", אמר סוראב. "שימוש בשיטות שונות של API, כמו createCredential() ו-getCredential(), גם פישט את אחסון פרטי הכניסה, ואיפשר לנו לנהל סיסמאות ומפתחות גישה במקום אחד".
X developers didn’t face many challenges when adopting Sign in With Google using the Credential Manager API. החלפת הקוד הקודם של 'כניסה באמצעות חשבון Google', 'הקשה אחת' ו-Smart Lock ב-X בהטמעה פשוטה יותר של Credential Manager, פירושה שמפתחים לא צריכים יותר לטפל בסטטוסים של חיבור או ניתוק ובתוצאות של פעילות, וכך מצטמצם טווח השגיאות.
עתיד עם מפתחות גישה
השילוב של מפתחות גישה ב-X מוכיח שאפשר ליצור חוויית אימות מאובטחת וידידותית יותר למשתמשים. באמצעות Credential Manager API, מפתחי X פישטו את תהליך השילוב, צמצמו את הסיכון לבאגים ושיפרו את האבטחה ואת מהירות הפיתוח – וכל זאת תוך שיפור חוויית המשתמש.
"ההמלצה שלנו למפתחים ששוקלים לשלב מפתחות גישה היא להשתמש ב-Credential Manager API", אומר סוראב. "הכלי הזה מפשט מאוד את התהליך ומפחית את כמות הקוד שצריך לכתוב ולתחזק, וכך משפר את ההטמעה עבור המפתחים".
בעתיד, X מתכננת לשפר עוד יותר את חוויית המשתמש על ידי מתן אפשרות להירשם באמצעות מפתחות גישה בלבד, ועל ידי הוספת מסך ייעודי לניהול מפתחות גישה.
שנתחיל?
כך משתמשים במפתחות גישה וב-Credential Manager API כדי לשפר את חוויית המשתמש בכניסה לאפליקציה.
-
מקרים לדוגמהחברת Uber השתמשה ב-Android Restore Credentials API כדי לייעל את הכניסה למכשירים חדשים, וצפויה לצמצם 4 מיליון כניסות ידניות בשנה וכך לשפר את שימור המשתמשים.
Niharika Arora, Tracy Agyemang • 5 min read -
מקרים לדוגמהKarrot היא אפליקציה של זירת מסחר בין עמיתים (P2P) שמבוססת על קהילה מקומית. האפליקציה מאפשרת למשתמשים לקנות, למכור ולסחור בפריטים עם משתמשים מאומתים אחרים. מאז ההשקה בדרום קוריאה בשנת 2015, הפלטפורמה התרחבה לשווקים גלובליים וצברה יותר מ-43 מיליון משתמשים רשומים.
Thomas Ezan, Tracy Agyemang • משך הקריאה: 2 דקות -
מקרים לדוגמהMonzo הוא בנק דיגיטלי בבריטניה עם 15 מיליון לקוחות, והמספר הזה ממשיך לגדול. כשהאפליקציה גדלה, צוות ההנדסה זיהה את זמן ההפעלה של האפליקציה כנקודה קריטית לשיפור, אבל חשש שיידרשו שינויים משמעותיים בבסיס הקוד.
Ben Weiss, Tracy Agyemang • משך הקריאה: 2 דקות
רוצים לקבל טיפים עדכניים לפיתוח Android ישירות לאימייל כל שבוע?